Der deutsche Gesetzgeber hält für Compliance-Maßnahmen allenfalls karge Vorgaben parat, so §§ 76 I, 91 II AktG für die (interne) gesellschaftsrechtliche Compliancepflicht bzw. die Bußgeldvorschriften der §§ 130 I S.1, 9, 30 OWIG für das Außenverhältnis. Auch Urteile zur Compliance haben Seltenheitswert. Mit dem Urteil des Bundesgerichtshofs (BGH) vom 9. Mai 2017 (Az. 1 StR 265/16) ist nun die erste höchstrichterliche Entscheidung zum Kernbereich des Straf- und Ordnungswidrigkeitenrechts ergangen – mit begrüßenswerten Folgen.
Die Haftung von Unternehmen bei Rechtsverstößen
Für Rechtsverstöße in und durch Unternehmen haften nicht nur die unmittelbar handelnden Mitarbeiter persönlich, auch die aufsichtspflichtigen Personen (Geschäftsleitung) können zu einer persönlichen Haftung herangezogen werden (§§ 130, 9 OWIG) bzw. im Wege der Durchgriffshaftung das Unternehmen selbst (§ 30 OWIG – „Die Unternehmensleitung handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.“). Auf diesem Wege wird eine in der Praxis nicht seltene Haftung für Pflichtverletzungen unterhalb der Leitungsebene erreicht.
Schon das Gesetz geht nicht davon aus, dass die vollständige Unterbindung von Verstößen gelingt; dieses Ziel scheitert an der unternehmerischen Realität, am Faktor Mensch. Das Gesetz fordert aber zu Gegenmaßnahmen auf („Zuwiderhandlungen … wesentlich erschwert“.) Das Unternehmen kann seiner Haftung also – nur – dadurch entgegentreten, indem es geeignete Maßnahmen zur Abwendung des einzelnen Verstoßes belegen kann. Praktisch gelingt dieser Nachweis durch die Implementierung, regelmäßige Überprüfung und Weiterentwicklung eines auf die Risiken des Unternehmens abgestimmten, angemessenen und effektiven Systems aus präventiven und repressiven Maßnahmen. Es hat hinreichend sicherzustellen, dass Risiken für wesentliche Regelverstöße rechtzeitig erkannt und verhindert werden, sog. Compliance-Management-System (CMS).
Der Fall des BGH
Gegenstand des BGH-Urteils waren Bestechungsvorwürfe und Steuerhinterziehung durch Mitarbeiter eines Rüstungsunternehmens, für die gegen das Unternehmen eine Geldbuße gemäß § 30 I OWIG verhängt worden war. Das Unternehmen hatte daraufhin Revision zum BGH eingelegt. Die zahlreichen Einzelrechtsfragen interessieren hier nicht. Interessant für die Compliance-Perspektive ist allein der nur beiläufig gegebene Hinweis des BGH (obiter dictum) am Ende des Urteilstextes: Für die Bemessung der Geldbuße gegen das Unternehmen sei von Bedeutung, inwieweit das Unternehmen seiner Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management-System installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss. Doch nicht nur Unternehmensmaßnahmen vor der Tatbegehung sind nach Auffassung des BGH zu berücksichtigen. Es könne auch eine Rolle spielen, so der BGH weiter, ob das Unternehmen infolge des Ordnungswidrigkeitenverfahrens die betreffenden Regelungen und die betriebsinternen Abläufe so geändert hat, dass vergleichbare Rechtsverstöße zukünftig jedenfalls deutlich erschwert werden (BGH Rz 118).
Kriterien des BGH:
1) Vorhandensein eines Compliance-Management-Systems
Der BGH stellt klar, dass ein zum Tatzeitpunkt implementiertes und funktionsfähiges CMS zur Reduzierung einer Geldbuße führen kann. Für diese Bemühungen vor Tatbegehung ist eine ex ante-Perspektive entscheidend. Denn Verstöße werden oft erst nach längerem Zeitablauf aufgedeckt, erst recht aber abgeurteilt. Im Verlauf nur weniger Jahre können sich die Compliance-Maßstäbe maßgeblich ändern. Das Unternehmen muss das Gericht also davon überzeugen, dass die Maßnahmen seinerzeit ausreichend waren und die Tat ein nicht zu verhindernder Sonderfall war.
2) Würdigung des Nachtatverhaltens (sog „Selbstreinigung)
Zusätzlich – und dieser Aspekt verdient besondere Aufmerksamkeit – ist nun auch das sog. Nachtatverhalten der Unternehmensleitung einzubeziehen. Reagiert die Geschäftsleitung auf den Verstoß, handelt sie im Sinne eines selbstlernenden Systems konsequent, schließt erkannte Lücken, optimiert Prozesse und erschwert vergleichbare Rechtsverstöße in der Zukunft, kann dies bußgeldmindernd berücksichtigt werden.
Fazit: Konsequentes Durchgreifen und Dokumentation eigener Maßnahmen
Aus Unternehmenssicht ist die Berücksichtigung von Compliance-Maßnahmen für die Bußgeldbemessung eindeutig zu begrüßen. Das Urteil sollte Unternehmen zur Aufdeckung von Verstößen motivieren und zu Dokumentationen der eigenen Compliance-Maßnahmen anhalten, um im Fall der Fälle Beweis erbringen zu können. Indizien für geeignete Maßnahmen sind auch Zertifikate oder ein positives Prüfungsergebnis nach IDW PS 980.
Es ist davon auszugehen, dass die Entscheidung auch die behördlichen Bußgeldentscheidungen beeinflussen wird.
Einen vertieften Austausch über diese und andere Compliance-Themen bietet eureos im Herbst dieses Jahres auf der nunmehr 3. Mitteldeutschen Compliance-Konferenz in Chemnitz. Einen Rückblick zur 2. Mitteldeutschen Compliance-Konferenz finden Sie hier. Alle Informationen zum Programm und zur Anmeldung zur diesjährigen Compliance-Konferenz finden Sie in unserem monatlichen Newsletter.
